- Que faire ou éviter à tout prix.
Chez Imperva, on estime à 50 % des utilisateurs du web utilisant le même mot de passe pour la totalité ou presque des sites sur lesquels ils surfent et un même ratio de personnes utilisant des mots simples, des prénoms, des mots formés de touches adjacentes sur leur clavier (type « azerty ») ou encore des suites numériques ultra basiques.
Les différentes études d’Imperva et de Symantec accouchent d’ailleurs d’un relevé des 10 mots de passe les plus courants :
-123456
-1234
-azerty
-abc123
-12345678
-password
-1234567
-iloveyou
-(date de naissance)
-(prénom/prénom des enfants)
Des mots de passe tout bêtes, faciles à retenir, faciles à voler. Des facilités de mémoire que l’on a tous au moins une fois adoptées. Au-delà, de certains codes issus d’expression anglaises universellement usitées, on peut noter la présence de « password » qui, selon Symantec, est souvent utilisé par les internautes négligents qui ouvrent des comptes sur des services anglophones et qui, à la demande « password » pour définir un mot de passe, ne vont pas plus loin. La firme estime également à 47 % le ratio d’internautes utilisant des noms de leur famille, d’animaux domestiques et à 11 % des mots portant sur le sexe.
Or, aujourd’hui, tout cela constitue un appel au viol numérique. Avec l’explosion des données transitant sur la toile et surtout avec la prolifération des réseaux sociaux (facebook est en tête de liste des zones à risques), l’accès à des données personnelles est devenu aussi simple que d’ouvrir un livre. Des données utilisées, comme vu précédemment, bien souvent comme mots de passe…
- De vrais cracks
On peut également causer de notre meilleur ami le ver informatique, qui embarque aujourd’hui jusqu’à 500 combinaisons de passwords simples et renifle les ordinateurs à la recherche de codes similaires. A noter qu’avec de tels systèmes, les pirates peuvent cracker jusqu’à 1 000 comptes web en moins de 20 minutes, selon Imperva.
Autre moyen, le « brute force » (force brute), qui consiste en un programme qui va analyser chaque possibilité alphabétique et/ou numérique. Un fois le programme lancé, il lance l’analyse : A / AA / AAA… / B / BBB… / ABAB… Autant dire que le brute force prend du temps, mais c’est aussi un système, même si cela prend des jours ou des semaines, qui peut potentiellement trouver tous les mots de passe conventionnels.
Et tout ceci n’est qu’une partie des moyens déployés pour forcer les sécurités. Effrayant, n’est-ce pas ?
- Surfez couverts
Laurent Heslault, directeur des technologies de sécurité chez Symantec, y va même de son petit conseil : « les mots de passe, ça se change souvent, mais ça ne se prête pas ! » Un changement tous les trimestre (eh oui) est plus que recommandé, mais surtout, dès qu’un doute nous envahit sur un de nos compte web.
Chez Symantec, avis que nous partageons, on prodigue la siennes de la « phrase de passe », plutôt que du mot. Il est vrai que, face à des systèmes logiques comme une rainbow table, « lessanglotslongsdesviolons » apparaît comme une sorte de défi insurmontable. En tout cas trop long à cracker pour intéresser un système qui se veut efficace et rapide. Laurent Heslault préconise ainsi, en base, l’utilisation d’au moins 8 voire 10 caractères, si possible en mélangeant des signes ou des chiffres. »
A titre d’exemple, une phrase de passe comme « laguerredesétoiles » sera toujours plus dure à cracker qu’un mot simple ( »yoda » ?), précise-t-il. Plus c’est long, plus c’est dur ! On peut même jongler entre ses différents comptes avec une même phrase : laguerredesétoiles-yahoo, laguerredesétoiles-gmail, etc. » La phrase de passe, en voie de démocratisation ?
Enfin, malgré le côté pratique de la chose, permettre le moins possible à votre navigateur de retenir vos sessions codes, ce qui constitue à laisser la porte entrouverte vers vos données. Symantec possède avec Identity Safe, un système de sauvegarde sécurisée et payant (compris dans la suite Norton) pour vos mots de passe, mais l’on peut également utiliser Password Safe, qui propose la même chose sur votre ordinateur et gratuitement.
Et n’oubliez pas, même si Princesse, votre tout nouveau bichon tout mignon, vous semble une bonne idée de mot de passe et que tout le web a pu jauger votre amour pour la bête sur Facebook, n’en faites pas pour autant votre nouvelle identification.
------------------------------------
Aucun commentaire:
Enregistrer un commentaire
Merci de poster un commentaire.